بدافزار پایانه فروش Treasurehunt بانک‌های کوچک و خرده فروش‌ها را در آمریکا هدف قرار می‌دهد

هر چه شرکت‌های آمریکایی با ساخت و ارائه فناوری‌های کارت‌های بانکی chip-pin سعی در مقابله با بدافزارهای پایانه فروش دارند، مهاجمان نیز سرعت خود را برای سوء‌استفاده از سامانه‌های کارت نوار مغناطیسی که هنوز در برابر بدافزارها آسیب‌پذیر هستند، بیشتر می‌کنند. بر اساس گزارش شرکت FireEye گروهی از نفوذگرها با نام Bears (خرس‌ها) در پشت آخرین مورد از این حمله‌ها با استفاده از یک بدافزار پایانه فروش به نام Treasurehunt قرار دارند.
آنچه که Treasurehunt را منحصر به فرد می‌کند این است که به صورت انحصاری توسط گروه نفوذگر خرس‌ها مورد استفاده قرار می‌گیرد و از الگوهای معمول بدافزاری که اغلب به صورت گسترده‌ای در بازار سیاه به فروش می‌رسند پیروی نمی‌کند. محققان می‌گویند که این کار موجب می‌شود که این بدافزار از دید بسیاری از مدیران امنیتی پنهان بماند.
تحلیلگر تهدیدهای هوشمند اساسی در شرکت فایرآی، Nart Villeneuve، می‌گوید: »این گروه در زمینه سرقت اطلاعات کارت‌های اعتباری بسیار فعال هستند. آنها تنها گروهی هستند که از بدافزار Treasurehunt استفاده می‌کنند، و بنابراین کار متخصصان امنیتی برای شناسایی آنان بسیار مشکل می‌شود«. Villeneuve گزارش داد که علاوه بر این، این کار موجب می‌شود که آنها جریان ثابتی از کارت‌های بانکی تازه را برای فروش در اختیار داشته باشند.
فایرآی گزارش می‌دهد که بدافزار پایانه فروش یک بدافزار سفارشی است و هنگامی که سامانه‌ را در معرض خطر قرار دهد، Treasurehunt می‌تواند اطلاعات کارت‌های پرداخت بانکی را از حافظه سامانه‌های رایانه‌ای پایانه فروش استخراج کند و این اطلاعات را به یک کارگزار فرماندهی و کنترل که توسط گروه خرس‌ها اداره می‌شود، بفرستد.
وی اضافه کرد: »همچنانکه زمان برای نفوذگرانی که سامانه‌های پایانه فروش قدیمی را در معرض حمله قرار می‌دهند، سپری می‌شود ما شاهد هجوم نرم‌افزارهای مخرب مرتبط هستیم. هیچ چیز به خصوصی در بدافزار Treasurehunt وجود ندارد. اما مجموعه نسبتاً پراکنده آنها نشان می‌دهد که Treasurehunt ممکن است به یک روش هدفمند ایجاد شده باشد«. او می‌گوید که با وجود استانداردهای امنیتی داده در صنعت کارت‌های اعتباری جدید که در سال ۲۰۱۵ معرفی شده‌اند، بسیاری از خرده‌فروشان مستقر در آمریکا و بانک‌ها که به آهستگی این استانداردها را پیاده می‌کنند، در زمره هدف‌های اصلی بدافزار Treasurehunt قرار می‌گیرند.
بر اساس گفته‌های این شرکت، Treasurehunt اساساً راه خود را به سمت پایانه‌های فروش از طریق اعتبارنامه‌های به سرقت رفته یا حملات گذرواژه فراگیر (brute force) باز می‌کند.
Villeneuve در گزارشی که تحقیق خود را در آن شرح می‌دهد، می‌گوید: » این بدافزار همه فرایندهای در حال اجرا را که شامل SysWOW۶۴، System۳۳ و یا \Windows\explorer.exe در نام ماژول خود هستند پویش می‌کند. این بدافزار به دنبال داده‌های کارت اعتباری می‌گردد، و اگر آن‌ها را پیدا کند، اطلاعات را به کارگزار فرماندهی خود ارسال و کنترل خود ارسال می‌کند.»
Treasurehunt به نفوذگران گروه خرس‌ها اجازه کنترل روی سامانه پایانه فروش را می‌دهد و آن‌ها را قادر می‌سازد تا اطلاعات کارت‌های پرداخت به سرقت رفته را از طریق یک رابط کاربری اینترنتی که در کارگزار فرماندهی و کنترل گروه خرس‌ها قرار دارد، جمع‌آوری کنند.
شرکت فایرآی تخمین زده است که این آسیب‌پذیری بی سر و صدا از سال ۲۰۱۴ در حال استفاده بود است، و اشاره می‌کند که مهاجمان در چند ماه گذشته آن را بهینه‌سازی کرده‌اند.
Villeneuve می‌گوید که در حالیکه برخی از مجرمان سایبری به دنبال توسعه راه‌هایی برای بهره‌برداری از سامانه‌های chip-pinهستند، (که نوع جدیدتری از فناوری از این نوع است)، بسیاری از مجرمان سایبری از مزایای بدافزارهای پایانه فروشی که به حافظه رخنه می‌کنند و هنوز قابل استفاده هستند، بهره‌برداری می‌کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.